In unserem letzten Blogpost haben wir über die Grundlagen der Authentifizierung gesprochen. Zur Erinnerung: Es ging darum, wie man beweist, die Person zu sein, die man vorgibt. Für viele Netzwerkadministratoren beschränkt sich Authentifizierung meistens auf einen Tag im Unternehmen, an dem alle relevanten Mitarbeiter ein Zugang zum Firmennetzwerk bekommen. Die Durchsetzung der drei anderen Sicherheitstechniken, wie Autorisierung, Zugriffskontrolle und der Audit-Protokollierung erhöht die Sicherheit von Benutzerkonten noch erheblich. In diesem Beitrag werden wir über Autorisierung und Zugriffskontrolle sprechen: Was beinhalten diese Begriffe und in welchen Szenarien kommen sie zur Anwendung, um die Benutzerkonten sicherer zu machen?
Was sind Autorisierungen und Zugangskontrollen?
Einfach ausgedrückt, sind Autorisierungen und Zugriffskontrollen Instrumente der Zugangsbeschränkung. Ein typisches Autorisierungsszenario wäre zum Beispiel eine Szene vor einem Club. Ein Türsteher lässt nur ihm gesonnene Personen herein (Autorisierung) und versperrt unpassenden Personen den Zutritt (Zugangskontrolle). Natürlich kann man diesen Vorgang auch auf andere Beispiele übertragen, da er alltäglich angewandt wird – bei Banken, im Sportstadion, im Konzertsaal oder beim Boarding. In all diesen Fällen benötigt man eine Berechtigung, um an einem bestimmten Geschehen teilnehmen zu können, wie dem Boarding oder dem Geldabheben von seinem Bankkonto. Ohne Berechtigung bleibt der Zugang verwehrt.
Für ein erfolgreiches Zusammenspiel von Autorisierung und Zugangskontrolle muss man zwei Dinge ganz besonders beachten: Gute Authentifizierung und grundlegende Zugriffsrichtlinien. Eine starke Authentifizierung ist erforderlich, da man nur die Person an sensible Ressourcen lassen möchte, die sich als die richtige erwiesen hat. Gute Zugriffsrichtlinien stellen sicher, dass man gerade das Minimum an Zugriffsrechten bekommt, um auf bestimmte Ressourcen zugreifen zu können. Genauer: Niemand hat Zugriff auf etwas, solange es nicht gebraucht wird und gestattet ist. Authentifizierung und das Finden von passenden Sicherheitsrichtlinien benötigen einen gewissen Planungshorizont, damit geeignete Zugriff-Levels eingerichtet werden können, die weder zu streng noch zu locker sind.
Wann sind Autorisierung und Zugriffskontrolle nützlich?
Diese Planung mag zwar nach unheimlich viel Arbeit aussehen und zuweilen fragt man sich, wer das freiwillig erledigt. Dennoch ist es besonders für diejenigen nützlich, die risikobegrenzende Möglichkeiten suchen, aber deren Budget limitiert ist. Das betrifft die meisten Leute – egal welches Business und wie erfolgreich es ist.
Wir haben Anekdoten gehört, dass Unternehmen in ernsthafte Schwierigkeiten geraten sind, weil Angreifer in empfindliche Systeme eindringen konnten. Dafür nutzten sie Lieferantenportale oder unabhängige Abteilungen. Wer sich die Zeit für eine gute Planung nimmt, kann diese Art von Kompromittierung erfolgreich verhindern.
Jedes Unternehmen, ob groß oder klein, hat Bereiche oder Dateien, die nicht für jedermann zugänglich sein sollten. Je nach Unternehmensgröße gibt es mehr oder weniger Abteilungen, die besonders sensible Ressourcen verwalten und auf die in gar keinem Fall von außerhalb zugegriffen werden sollte. Dazu gehören die Personalabteilung, die Personalabrechnung, das Rechnungswesen, das Business Development und auch die IT-Abteilung.
Es gibt die Möglichkeit Gruppen, Individuen, einzelne Maschinen oder ganze Netzwerke von Zugriffskontrollen zu inkludieren oder exkludieren. Das hängt ganz von den Bedürfnissen nach Ressourcen und deren Sensibilität ab. Bevor man jedoch Zugriffsrichtlinien errichtet, ist es eine gute Idee, eine Liste der zugriffsberechtigten Gruppen zu erstellen, wie zum Beispiel:
- Einzelne Abteilungen
- Gruppen innerhalb der Abteilungen
- Rollen zwischen den einzelnen Abteilungen (z.B. Projekt- oder Produktmanager, Verwaltung)
- Menschen mit spezifischen Aufgaben
- Gruppenleiter und Manager
- Hochrangige Manager und Führungskräfte
- IT-Sicherheit
Sind die Gruppen erst einmal angelegt, kann man Berechtigungen für Dateien definieren. Ebenso kann für jede Gruppe oder Einzelperson festlegt werden, welche Aktionen nicht durchgeführt und auf welche Bereiche nicht zugegriffen werden darf.
Während einige Gruppen unter Umständen vollen Zugriff auf Dateien durch Lese- und Schreibberechtigung brauchen, benötigen andere wiederum nur die Leseberechtigung – also lediglich eine Erlaubnis, Dateien und Verzeichnisse sichten zu können. Darüber hinaus kann auch die Benutzung verschiedener Ressourcen limitiert werden. Man kann genau festlegen, wie oft oder lange Mitarbeiter oder bestimmte Abteilungen Zugriff auf etwas bekommen – beispielsweise betrifft das auch das Web-Surfen auf nicht relevanten Webseiten.
Wer bereits Gruppen und Berechtigungen erstellt hat, kann seine Richtlinien dann praktisch durchsetzen. Dafür setzt man am besten an dem Punkt an, wo User bereits um einen Login gebeten werden. Dazu gehören der Gerätestart oder der Wake-up, das Öffnen von Anwendungen oder Logins zu Online-Services und Datenbanken.
Diese Richtlinien sollten dynamische Dokumente sein und sich der Personalbewegung oder der wechselnden Arbeitsverteilung anpassen.
Auch wenn erstmal alle Richtlinien in Kraft gesetzt wurden, ist das noch lange nicht das Ende der Geschichte. Unfälle und unerwartete Ereignisse passieren immer wieder und sollten ernst genommen werden. Im nächsten Teil dieser Serie werden wir über die Audit-Protokollierung sprechen. Diese erlaubt, nach Fehlern in vergangenen Ereignissen zu suchen, damit zukünftige Probleme vermieden werden können.